你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Virtual Network Manager 的常见用例
了解 Azure Virtual Network Manager 的用例,包括管理虚拟网络的连接和保护网络流量。
重要
Azure Virtual Network Manager 现已正式发布,可用于中心辐射型连接配置以及具有安全管理员规则的安全配置。 网格连接配置仍以公共预览版提供。
此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
此预览版在提供时没有附带服务级别协议,不建议将其用于生产工作负荷。 某些功能可能不受支持或者受限。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
创建拓扑和连接
使用连接配置可以根据网络需求创建不同的网络拓扑。 可以通过将新的或现有的虚拟网络添加到网络组并创建符合需求的拓扑来创建连接配置。 连接配置提供三个拓扑选项:网格、中心和支路,或者采用在支路虚拟网络之间建立直接连接的中心辐射型拓扑。
网格拓扑(预览版)
部署网格拓扑后,所有虚拟网络可以相互直接连接。 它们不需要通过网络上的其他跃点进行通信。 当所有虚拟网络需要相互直接通信时,网格拓扑非常有用。
中心和辐射拓扑
在支路虚拟网络共享的中心虚拟网络中部署中央基础结构服务时,建议使用中心辐射型拓扑。 使用这种拓扑比在所有支路虚拟网络中部署这些通用组件更为有效。
建立了直接连接的中心辐射型拓扑
这种拓扑结合了上述两种拓扑。 如果你在中心内具有通用中央基础结构,并希望所有支路之间直接通信,则建议使用这种拓扑。 直接连接有助于降低通过中心时额外网络跃点造成的延迟。
维护虚拟网络拓扑
对基础结构进行更改时,AVNM 会自动维护你在连接配置中定义的所需拓扑。 例如,将新支路添加到拓扑时,AVNM 可以处理所需的更改,以创建与支路及其虚拟网络的连接。
安全性
可以使用 Azure Virtual Network Manager 创建安全管理规则,以便对组织中的虚拟网络强制实施安全策略。 安全管理规则优先于网络安全组定义的规则,在分析流量时,首先会应用安全管理规则,如下图所示:
常见用途包括:
- 创建必须对所有现有 VNet 及新建 VNet 应用和强制实施的标准规则。
- 创建不可修改的安全规则,并强制实施公司/组织级别的规则。
- 强制实施安全保护,以防用户打开高风险端口。
- 针对公司/组织中的每个人创建默认规则,使管理员能够防范由于 NSG 配置错误或忘记实施必要的 NSG 而导致的安全威胁。
- 以管理员身份使用安全管理规则创建安全边界,并让虚拟网络所有者配置其 NSG,使 NSG 不会违反公司策略。
- 强制允许传入和传出关键服务的流量,以防其他用户意外阻止必要的流量,例如监视服务和程序更新。
有关用例的演练,请参阅使用 Azure Virtual Network Manager 保护虚拟网络 - Microsoft 技术社区。
后续步骤
- 使用 Azure 门户创建 Azure Virtual Network Manager 实例。
- 使用 Terraform 部署 Azure Virtual Network Manager 实例。
- 详细了解 Azure Virtual Network Manager 中的网络组。
- 了解连接配置的作用。
- 详细了解安全管理配置。